12月11日消息,昨日晚間,有媒體報道稱一個12G的數(shù)據(jù)包在黑市上開始流通,其中包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度,數(shù)據(jù)多達數(shù)千萬條。而黑市買賣雙方皆稱,這些數(shù)據(jù)來自京東。
對此,京東方面今日凌晨緊急發(fā)布聲明,并未否認這些數(shù)據(jù)來自京東,同時京東在聲明中強調(diào),這些數(shù)據(jù)初步判斷源于2013年Struts 2的安全漏洞問題,當時國內(nèi)幾乎所有互聯(lián)網(wǎng)公司及大量銀行、政府機構(gòu)都受到了影響,導致大量數(shù)據(jù)泄露。
同時,京東方面建議用戶高度重視信息安全和隱私保護,在涉及到財產(chǎn)的電商、支付類系統(tǒng)中使用獨特的用戶名和登錄密碼,開啟手機驗證和支付密碼,并將登錄密碼和支付密碼設(shè)為高強度的復(fù)雜密碼,提高賬戶安全等級。
事實上,電商平臺一直是數(shù)據(jù)泄露的重災(zāi)區(qū)之一,據(jù)一本財經(jīng)統(tǒng)計,京東在2015年就曾被曝出大量用戶隱私信息泄露,用戶共損失數(shù)百萬。一年后,京東公布調(diào)查結(jié)果,稱因“內(nèi)鬼”——3位京東物流人員,通過物流流程,掌握了用戶姓名、電話、地址、何時下單、所購貨物等信息,總數(shù)據(jù)達到9313條。
而2014年初,支付寶也曾被曝20G用戶資料泄漏,包括用戶個人的實名、手機、電子郵箱、家庭住址、消費記錄等,相當精準。后經(jīng)調(diào)查,此次泄漏同樣是“內(nèi)部作案”:支付寶前技術(shù)員工李明和兩位同伙,利用職務(wù)之便,多次在公司后臺下載用戶資料,將用戶資料按條數(shù)出售,價格不等,價值較高的,一條可賣數(shù)十元;也有人以500元的代價,購買了3萬條用戶信息。
此外,2014年底,中國鐵路購票網(wǎng)站12306的6個子網(wǎng)站存在高危漏洞,致數(shù)十萬條用戶數(shù)據(jù)外泄,包括用戶賬號、明文密碼、身份證、郵箱等敏感信息在內(nèi)的數(shù)據(jù)被販售。12306宣布懸賞、號召網(wǎng)友查找漏洞;2012年1號店被曝網(wǎng)上商城員工與離職、外部人員內(nèi)外勾結(jié),90萬用戶資料泄露,價格只需500元。 以下為京東今日凌晨發(fā)布的回應(yīng):
關(guān)于有媒體報道京東數(shù)據(jù)安全問題的聲明
昨日,有媒體報道《京東數(shù)據(jù)疑似外泄》,經(jīng)京東信息安全部門依據(jù)報道內(nèi)容初步判斷,該數(shù)據(jù)源于2013年Struts 2的安全漏洞問題,當時國內(nèi)幾乎所有互聯(lián)網(wǎng)公司及大量銀行、政府機構(gòu)都受到了影響,導致大量數(shù)據(jù)泄露。京東在Struts 2的安全問題發(fā)生后,就迅速完成了系統(tǒng)修復(fù),同時針對可能存在信息安全風險的用戶進行了安全升級提示,當時受此影響的絕大部分用戶都對自己的賬號進行了安全升級。但確實仍有極少部分用戶并未及時升級賬號安全,依然存在一定風險。
京東在此也強烈建議用戶高度重視信息安全和隱私保護,在涉及到財產(chǎn)的電商、支付類系統(tǒng)中使用獨特的用戶名和登錄密碼,開啟手機驗證和支付密碼,并將登錄密碼和支付密碼設(shè)為高強度的復(fù)雜密碼,提高賬戶安全等級。
同時,針對出現(xiàn)在地下黑色產(chǎn)業(yè)鏈中采用黑客攻擊用戶賬戶、盜取用戶賬號資產(chǎn)和販賣用戶信息等不法行為,京東已與警方建立了長效的合作機制,并將聯(lián)合警方進行堅決的打擊。
Ps:Struts是Apache基金會的一個開源項目,廣泛應(yīng)用于大型互聯(lián)網(wǎng)企業(yè)、政府、金融機構(gòu)等網(wǎng)站建設(shè),并作為網(wǎng)站開發(fā)的底層模板使用。2013年,據(jù)烏云平臺漏洞報告,Struts 2安全漏洞可以讓黑客可直接通過瀏覽器對服務(wù)器進行任意操作并獲取敏感內(nèi)容,國內(nèi)幾乎所有的互聯(lián)網(wǎng)企業(yè),以及大量國內(nèi)外銀行和政府機構(gòu)都出現(xiàn)了不同程度的信息泄露。